“대부분 국가지원 해킹 그룹은 사이버첩보활동, 사회 혼란에 집중하는 반면 북한은 '돈'까지 노립니다. 북한 화해무드와 관계없이 앞으로 이런 활동은 계속 지속될 것입니다.”
제이 로젠버그 카스퍼스키랩 선임보안연구원은 23일 서울 노보텔 앰배서더 동대문에서 열린 기자간담회에서 북한 사이버 공격그룹은 다른 양상을 보인다고 말했다.
로젠버그 연구원은 “최근 북한 공격그룹은 국내 금융권을 대상으로 지속 공격을 하고 있다”면서 “보안이 취약한 곳을 노리고 있으며 실제 해외 암호화폐 거래소 공격 정황도 포착됐다”고 말했다.
일반적으로 국가지원 해킹 그룹은 사이버첩보활동, 사회 혼란에 집중한다. 2014년부터 2018년년 발생한 스타우드 호텔 사이버 공격, 2015년 미국민주당전국위원회(DNC) 공격, 2019년 쉐도우해머까지 모두 중국 등 국가지원 사이버 첩보활동 일환이었다. 사회 혼란을 야기하는 공격도 마찬가지다. 해킹팀 공격 등에 돈은 포함되지 않았다.
반면 북한 공격그룹으로 알려진 '라자루스'는 사이버첩보활동, 혼란, 돈 모두를 노린다. 김수키 그룹(2013년), 오퍼레이션 데이브레이크(2016년)는 최근까지도 통일부를 사칭한 공격을 감행하는 등 활발한 활동을 보인다. 2014년 11월 김정은 북한 국무위원장 암살을 소재로 한 영화(인터뷰)를 제작한 소니픽처스 해킹공격은 대표적인 라자루스 그룹 해킹 공격이다.
2016년 북한을 향한 UN 대북제재 강화와 함께 '돈'을 노린 새로운 공격도 시도했다. 방글라데시 중앙은행에서 8100만달러 인출한 불법 해킹 사건뿐 아니라 2017년 워너크라이 랜섬웨어도 마찬가지다. 워너크라이 랜섬웨어는 독일, 영국, 태국 등 세계 각 지역을 타격, 막대한 피해를 입혔다. 지난해 암호화폐 거래소 빗썸 해킹도 북한공격으로 밝혀지는 등 공격은 계속된다.
로젠버그 연구원은 “일반적으로 국가지원 해킹그룹은 돈을 원하지 않지만 북한은 다르다”면서 “라자루스, 스카크러프트 등 북한 해커그룹은 사이버첩보, 혼란, 돈을 노리는 각 팀으로 나눠 현재도 활발히 활동한다”고 말했다.
향후 이들 공격활동은 계속 지속 될 것이라는 전망이다. 남북 화해무드와 관계없이 공격이 지속된다. 게다가 국가지원 공격세력은 지정학, 정치적 목적을 띄고 활동하는 만큼 국가 간 정세 변화에 기민하게 대응해 공격을 시도한다.
로젠버그 연구원은 “과거 공격 분석을 통해 향후 어떤 공격이 있을 지 예상 가능한 만큼 각 그룹을 모델링하는 등 지속적인 분석을 한다”면서 “공격 그룹은 새로운 기술에 민감하게 반응하고 곧바로 공격에 악용하는 만큼 빠른 대응책 마련이 필요하다”고 덧붙였다.
정영일기자 jung01@etnews.com